第350号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 経営企画部
マネージドセキュリティサービス推進室 担当部長)
題:「IoTのセキュリティ対策」
最近は「IoT(アイオーティー)」という言葉が流行している。
IoTはInternet of Things(モノのインターネット)の略称であり、パソコンやスマホだけではなく、身の回りにあるモノの多くがネットに繋がり、様々なデータをクラウドに転送し、様々な視点で分析し、生活を便利にするとともに、新しいビジネスも生み出すと言われている。
ガートナーによれば、2020年には250億もの「モノ」がインターネットに接続されるそうだが、通信会社に勤めている私にとっては明るい未来よりも、大量に発生するであろう管理者不在の「モノ」がサイバー攻撃の温床になりはしないか、今から心配でならない。今回はその老婆心コラムにお付き合いいただきたい。
例えば各家庭には、インターネットに接続するブロードバンドルータが設置されているが、この機器が大きな問題を引き起こしている。機器の設定不良や脆弱性が原因となり、第三者に大量の通信を集中砲火のごとく送りつける攻撃が横行している。
あたかも多数の反射鏡を1点に集中させるようなこの攻撃は、広く薄く通信を1箇所に集めるだけで100Gbpsを超える攻撃を発生させることも容易い。NTTコミュニケーションズが提供するプロバイダ・OCNのサービスが一時的に麻痺させられたこともある。
第三者の攻撃を反射し時には増幅させるこの攻撃は、インターネットを安定的に運用する上での大きなリスクである。根本的な対策を行うためには個人が所有するブロードバンドルータの基本ソフトを新しく更新する必要がある。しかしこの対策がなかなか進まないので頭が痛い。
例えば、A社製の製品Bに問題がありバージョンアップが必要だと仮定しよう。しかしA社には製品Bのユーザリストが整備されているとは限らない。またA社のホームページに告知しても見る人は少ないだろうし、ニュースで「A社製の製品Bに重大な欠陥」と報じても、自分の問題と気付ける人はどの程度いるだろうか?
各家庭の入り口にあるブロードバンドルータでさえ利用者への接触が難しい現状を考えると、IoT時代になり様々な「モノ」がインターネットに接続され、しかも誰に売ったか誰から買ったかもわからない状態で、長期間、中には10年以上も使い続けることを想像すると、今からしっかりと「IoTのセキュリティ対策」を考えておく必要があると強く思う次第である。私の知る限り10年間も安全な状態を保てたIT機器は無い。
プロバイダが行う対策としては、あまりにも「モノ」からの攻撃がひどい場合、特にその攻撃の影響で他のユーザの通信サービスに影響がある場合などは、「モノ」に付与されているIPアドレスから利用者を割り出して注意喚起をする場合がある。
このIPアドレスから利用者を割り出す行為は、通信の安定運用に必須の場合は適法とされているが、本来はIPアドレスからユーザを特定する行為は、憲法で保障された「通信の秘密」を侵害する行為であり、通信事業者が正当な理由なしに行うと電気通信事業法違反で懲役3年または罰金300万円未満の処罰を受けてしまう。
つまりプロバイダもこの「モノ」対策に動ける場合と、そうでない場合の両方があるわけである。
この管理者不在状態の「モノ」を作らないためには、端末機器メーカやクラウド事業者、通信事業者が連携して、IoTに係わる全体のセキュリティ対策について「システム」としての完成度を高める仕組み作りを進めなければならない。
その上で、どうしても発生してしまう野放し状態の「モノ」に対しては、持ち主を見つけて注意喚起するだけでなく、ネットワークから切り離してしまうような対策も検討すべきであろう。
すでに足音が聞こえているIoTが普及する前に、この課題に戦略的に取り組んで、平和で豊かな社会の実現に貢献したい、まだ間に合うと思いたい今日この頃である。
【著作権は、小山氏に属します】